Att cyberhot av olika slag kommer att öka i framtiden råder det inga tvivel om. Per Gustavsson, CISO på Stratsys, är övertygad om att alla företag och organisationer kommer att drabbas förr eller senare. Ökade investeringar i tid och pengar kommer att krävas. Om företagsledningen inte redan är med på tåget är det dags att samla övertygande argument nu.
Kommande bestämmelser och lagkrav
Behovet av stärkt säkerhetslagstiftning har ökat de senaste åren, vilket lett till nya bestämmelser. Säkerhetsskyddslagen måste följas av alla företag som bedriver säkerhetskänslig verksamhet. NIS (Network and Information Security) trädde i kraft 2018 och berör cybersäkerhet i EU på en global nivå och syftar till att främja säkerhetsåtgärder och se till att EU:s medlemsstater skyddar den viktigaste infrastrukturen. 2020 trädde nya EU-riktlinjer i kraft gällande cybersäkerhet för banker, och 2023 kom DORA (Digital Operational Resilience Act) som ska stärka finanssektorns digitala operativa motståndskraft.
Tack vare Dataskyddsförordningen blev informationssäkerhet och dataskydd en fråga som behövde hanteras högre upp i organisationen. Det som sedan tvingade företag att agera var att det fanns ett vite.
"Jag tror att "management" kommer "jaga" sin organisation på motsvarande sätt som med GDPR. Tillsynsmyndigheter kommer dela ut kännbara viten för både NIS2 och DORA, men med en stor skillnad att den panik som många kände inför GDPR nu är lättare att hantera då de flesta organisationer har byggt en organisation"
Per Gustavsson, CISO på Stratsys.
Ett systematiskt informationssäkerhetsarbete
Det finns generellt en bättre förståelse för betydelsen av informationssäkerhet idag, menar Per Gustavsson. Men det kan fortfarande vara utmanande för dig som CISO att övertyga styrelse eller ledningsgrupp att prioritera investeringarna som behövs.
Ett starkt argument för att investera i informationssäkerhet är att dina kunder lägger allt större vikt vid säkerhet idag och det kommer bara bli viktigare i framtiden. Grundläggande för en god beredskap är att ha ett välfungerande systematiskt informationssäkerhetsarbete, som brukar inkludera en certifiering enligt ISO-27001.
Med en ISO-certifiering har du tydliga incitament för att företagets produkt är säker, och att informationssäkerhet är prioriterat. Ditt företag kommer därmed att stå sig bättre mot potentiella konkurrenter som inte är certifierade. Har du en viktig IPR (Intellectual Property Rights) som källkod, ritning, kemisk formel, vad det nu än kan vara som är värdefullt, så vill du skydda det.
"Att företag investerar i informationssäkerhet behöver bli lika självklart som att de anställda i egenskap av privatpersoner investerar i hemförsäkring", säger Per Gustavsson.
Skydda det som är verksamhetskritiskt
I en organisation där en CIO ansvarar för IT-system, säkerhet med mera, behöver denne balansera många olika prioriteringar. För att effektivt sälja in investeringar i informationssäkerhet till en CIO behöver du framhålla hur dessa inte bara kan förbättra säkerheten, utan bidra till företagets övergripande mål och strategier. Presentera dina argument i en detaljerad kostnadsanalys där du utgår från vad ni omsätter och vad det skulle kosta er att stå stilla. Om ni inte kan leverera er tjänst återkommande, hur stort kundtapp skulle ni se? Väg investeringar mot risk för tapp. Säg att ni utsätts för en cyberattack som gör att ni förlorar två miljoner om året. Om investeringen i ett nytt säkerhetssystem som analyserar hot är dyrare än förlusten är investeringen inte lönsam. Då bör ett billigare alternativ prioriteras med andra processer och system.
Informationssäkerhet kan verka dyrt på kort sikt och som något som enbart kostar mycket pengar och ger lite värde, men det är viktigt att påpeka att det ofta leder till betydande långsiktiga besparingar. Vilka investeringar som behövs beror på vilken typ av verksamhet som bedrivs, men det måste vara centralt att skydda det som är verksamhetskritiskt. SaaS-bolag som utvecklar mjukvara behöver skydda sin molntjänst och utvecklingen kring den. En arkitektbyrå sitt ritkontor och det som skapas. Företaget kan behöva anställa personal, hyra in konsulter, investera i teknisk utrustning, penetrationstester eller mjukvara. Det svåra är inte att motivera en investering, utan att identifiera rätt investering utifrån den kritiska verksamheten.
“Culture beats process every time”
Men tro inte att företaget är säkert även om du investerat i ett banbrytande säkerhetssystem. Frågan är inte om det kommer att hända något utan när. Alla företag kommer att utsättas vid någon tidpunkt, du kanske till och med har drabbats redan utan att ha märkt det. Det som avgör hur stor skadan blir är hur bra organisationen är på att hantera krissituationer. Så förutom att ha ett systematiskt informationssäkerhetsarbete på plats, en dedikerad CISO och lämpliga system handlar det om kulturen och människorna i organisationen.
"Culture beats process every time. Det vill säga om ni har en stark företagskultur kan du lita på att alla gör sitt jobb och vet hur de ska agera i olika säkerhetsfrågor. Med rätt strategier på plats och en transparent, öppen kultur kommer en anställd som gjort något fel ringa mig direkt, vilket är precis det jag vill"
Vilket verktyg passar bäst för informationssäkerhetsarbetet? Läs vårt blogginlägg här om ämnet: Från kalkylark till proaktiv säkerhet - råd från en erfaren CISO.
